Yo hice algo similar, aunque en mi caso la seguridad no era sumamente importante. Mi razonamiento era el siguiente:

Suponiendo que ajax.php abre a pagina_ultra_secreta.php.
-Al momento de generar ajax.php genero un código de 32 caracteres aleatorio (tipo session id).
-Almaceno ese código en mi base de datos y también se lo envío al cliente en una cookie.
-En el momento que el cliente llama a pagina_ultra_secreta.php antes de devolverle asincrónicamente su contenido leo el valor de la cookie anteriormente enviada.
-Compruebo que el valor leído de la cookie exista en mi base de datos. En caso que exista "muestro" el contenido y borro esa entrada de la base de datos. Caso que no exista no "muestro" nada.

Este procedimiento te (casi) garantiza que el cliente que quiera hacer una llamada a pagina_ultra_secreta.php debe necesariamente haber pasado por ajax.php para que se le genere un código de 32 caracteres válido.

Con algunos agregados quizá te pueda resultar útil.
Saludos.